Masa Depan Forensik Perangkat Mobile, Sebagian besar akan setuju bahwa zaman keemasan forensik seluler telah berakhir. Tidak ada lagi cara mudah untuk melewati kode sandi di perangkat iOS baru yang menjalankan iOS versi terbaru. Akuisisi chip-off mati untuk perangkat iOS karena enkripsi disk penuh, sementara akuisisi fisik perangkat keras Apple mati sejak pengenalan perangkat 64-bit dan versi iOS 8 yang tidak dapat di-jailbreak. Blackberry sangat tahan terhadap akuisisi chip-off sejak awal, dan Android segera mencapainya. Dalam buku putih ini, kita akan melihat keadaan forensik seluler saat ini untuk berbagai platform dan perangkat, menganalisis tren saat ini, dan mencoba memprediksi bagaimana forensik seluler akan terlihat di tahun-tahun mendatang.
Untuk mengumpulkan prediksi ini, penulis menganalisis alat, metode, dan perangkat keras canggih yang ditawarkan oleh produsen terkemuka, dan mewawancarai para ahli yang bekerja untuk produsen produk forensik digital. Karena pabrikan sering kali berspesialisasi dalam bidang tertentu (misalnya, memproduksi peralatan untuk memecahkan kode sandi iPhone), kami menanyai beberapa perwakilan untuk dapat melihat keseluruhan gambar. Hari ini, kami siap untuk membagikan temuan kami.
Forensik iOS
Menurut thetrainingco.com Sejak Apple menggunakan enkripsi disk penuh dengan enkripsi berbasis perangkat keras yang bergantung pada kode sandi, akuisisi chip-off tidak mungkin dilakukan. Metode akuisisi berikut tersedia untuk perangkat Apple:
- Mengirim perangkat kembali ke Apple . Umumnya tersedia untuk instansi pemerintah dan penegak hukum. Hanya untuk versi iOS sebelum iOS 8.
- Akuisisi fisik . Metode akuisisi non-destruktif yang memungkinkan seseorang memperoleh gambar penuh perangkat melalui kabel Apple standar.
- Akuisisi logis (cadangan) . Berurusan dengan file cadangan offline yang dihasilkan oleh perangkat yang sedang dianalisis.
- Akuisisi over-the-air. Mengunduh informasi dari iCloud.
Mengirim ke Apple
Mengirim perangkat untuk diakuisisi langsung ke Apple dulunya merupakan strategi yang layak, tetapi sekarang tidak lagi. Dengan dirilisnya iOS 8, Apple secara eksplisit menyatakan dalam Kebijakan Privasi mereka bahwa sistem baru ini sangat aman sehingga bahkan Apple sendiri tidak dapat mengakses informasi di dalam perangkat jika kode sandi yang benar tidak diketahui. Dengan demikian, perangkat modern yang menjalankan iOS versi terbaru hanya dapat diperoleh dengan cara ini jika kode sandi yang benar diketahui. Pada Juni 2015, lebih dari 80 persen perangkat iOS menjalankan iOS 8, sehingga peluang untuk benar-benar menangani perangkat dengan versi iOS yang lebih lama menjadi tipis.
Akuisisi Fisik iOS
Dalam hal akuisisi fisik, teknik ini hanya berfungsi untuk perangkat 32-bit yang di-jailbreak (kedua syarat harus dipenuhi), atau perangkat 32-bit dengan kode sandi yang diketahui yang dapat di-jailbreak oleh penyidik. Dibandingkan dengan Android, relatif sedikit pengguna Apple yang melakukan jailbreak pada ponsel mereka. Karena saat ini tidak ada jailbreak untuk versi iOS terbaru yang tersedia, dan semua perangkat baru menggunakan sirkuit 64-bit, akuisisi fisik hanya akan berfungsi dalam kasus yang jarang terjadi (dengan pengecualian negara berkembang di mana perangkat keras Apple 32-bit yang lebih lama masih menempati posisi utama. ceruk pasar).
Akuisisi Logis iOS
Jika kode sandi diketahui, atau ada cara untuk menemukannya, penyelidik dapat membuat perangkat menghasilkan cadangan offline melalui iTunes. Cadangan kemudian dapat dianalisis, tetapi dengan beberapa batasan:
- Rahasia perangkat (item yang disimpan di gantungan kunci) hanya akan tersedia jika cadangan dilindungi kata sandi (dan TIDAK akan tersedia dalam cadangan yang disimpan tanpa kata sandi). Agak berlawanan dengan intuisi, jika Anda memiliki perangkat yang dikonfigurasi untuk menghasilkan cadangan tanpa perlindungan kata sandi, menyetel kata sandi cadangan yang diketahui dan memasukkan kata sandi yang sama di alat forensik akan memungkinkan akses ke lebih banyak informasi dibandingkan dengan menganalisis cadangan yang tidak dilindungi.
- Item yang di-cache seperti email yang diunduh tidak tersedia di cadangan.
Akuisisi Melalui Cloud (iCloud)
Terakhir, ada cara untuk mendapatkan konten perangkat Apple dengan mengunduh cadangan dari iCloud.
iCloud adalah layanan cloud yang tersedia untuk pelanggan Apple. Penyimpanan cloud lima GB tersedia gratis, dan hingga 50 GB dapat dibeli dengan biaya tertentu.
Apple merancang sistem yang sangat nyaman untuk mencadangkan perangkat ke cloud. Pencadangan bersifat inkremental dan terjadi secara otomatis setiap kali perangkat dimasukkan ke pengisi daya saat terkunci dan terhubung ke jaringan Wi-Fi yang dikenal (semua kondisi harus dipenuhi). Kembali pada tahun 2012, sekitar 33 persen pelanggan Apple menggunakan iCloud. Meskipun tidak ada statistik terbaru yang tersedia, kami dapat menebak bahwa penggunaan iCloud telah meningkat secara dramatis, dengan mayoritas pelanggan Apple mencadangkan informasi mereka ke cloud.
Baca Juga : Laporan Global Digital Forensik Market 2020 – 2026
Cadangan cloud berisi semua informasi yang sama dengan cadangan offline yang dihasilkan melalui iTunes. Cadangan iCloud dapat diambil dengan perangkat lunak forensik jika ID Apple dan kata sandi pengguna diketahui, atau jika token otentikasi biner dari komputer pengguna tersedia. Informasi juga dapat diperoleh langsung dari Apple oleh penegak hukum dengan permintaan pemerintah.
Metode Akuisisi Forensik Android yang tersedia untuk perangkat Android berbeda secara signifikan.
- Mengirim perangkat ke produsen untuk ekstraksi data. Umumnya tersedia untuk lembaga pemerintah dan penegak hukum untuk sebagian besar perangkat domestik. Mungkin tidak tersedia untuk model internasional (misalnya telepon Cina tanpa nama).
- Akuisisi fisik. Metode akuisisi non-destruktif yang memungkinkan untuk mendapatkan gambar penuh perangkat melalui kabel USB dan perangkat lunak forensik.
forensik JTAG. Mengambil informasi melalui Test Access Port telepon. - Akuisisi chip-off. Membutuhkan penghapusan chip memori. Menghasilkan dump biner mentah.
- Akuisisi over-the-air. Melibatkan pengunduhan informasi dari Akun Google.
Mengirim ke Produsen
Mengirim perangkat ke produsennya mungkin merupakan strategi akuisisi yang layak jika perangkat tidak tersedia melalui cara lain. Misalnya, Samsung, yang merupakan penjual perangkat smartphone nomor satu di AS, memiliki kebijakan resmi untuk mendukung ekstraksi informasi saat melayani permintaan pemerintah.
Khususnya, pendekatan ini mungkin tidak tersedia untuk perangkat internasional (khususnya, smartphone tanpa nama dan merek C yang berasal dari China). Di sisi lain, sebagian besar perangkat China tidak diamankan dengan cara apa pun yang wajar, dan biasanya dapat diperoleh melalui akuisisi fisik.
Fragmentasi
Android Android adalah platform yang sangat terfragmentasi dengan beberapa ratus produsen dan ribuan model perangkat. Dalam laporan tertanggal Agustus 2014, OpenSignal menyatakan: “Kami telah melihat 18.769 perangkat berbeda mengunduh aplikasi kami dalam beberapa bulan terakhir. Dalam laporan kami tahun lalu, kami melihat 11.868.” Menurut laporan yang sama, “Samsung memiliki 43 persen pangsa pasar Android
Forensik JTAG (Android)
Forensik JTAG adalah prosedur akuisisi lanjutan, yang menggunakan port JTAG standar untuk mengakses data mentah yang disimpan di perangkat yang terhubung. Dengan menggunakan peralatan khusus dan kabel JTAG khusus perangkat yang cocok, seseorang dapat mengambil seluruh isi memori flash dari perangkat yang kompatibel. Khususnya, akuisisi JTAG sering tersedia bahkan untuk perangkat yang terkunci, rusak, atau tidak dapat diakses.
Penting untuk disadari bahwa forensik JTAG adalah metode akuisisi tingkat rendah yang akan mengembalikan konten mentah dari chip memori. Jika enkripsi data seluruh disk ada pada perangkat (baik pra-aktif oleh pabrikan atau diaktifkan oleh pengguna), akuisisi JTAG akan menghasilkan gambar terenkripsi. Untuk mendekripsi gambar mentah, seseorang akan memerlukan akses ke API tingkat tinggi ponsel, yang, pada gilirannya, memerlukan penyediaan kode sandi yang benar. Khususnya, enkripsi seluruh disk aktif di luar kotak di banyak ponsel Samsung, perangkat Nexus 6 dan Nexus 9 serta beberapa ponsel andalan lainnya yang dijual oleh produsen terkemuka.